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一 种 针对 BitTorrent 协议 中 Have 消息 的 隐 写 分 析 方 法 
徐 心 怡 ， 翟 江涛 ”， 戴 跃 伟 


(江苏 科技 大 学 电子 信息 学 院 , 江苏 镇 江 212003) 


摘 要 : 网 络 隐 写 是 一 种 以 计算 机 网 络 通信 数据 为 载体 的 隐蔽 通信 技术 。BitTorrent 协议 的 巨大 流量 使 其 成 为 一 种 极 佳 
的 隐 写 载体 ， 基 于 BitTorrent 协议 Have 消息 的 隐 写 即 在 此 背景 下 提出 ， 目 前 公开 文献 尚 无 有 效 的 检测 算法 。 基 于 此 ， 
提出 了 一 种 基于 多 特征 分 类 的 检测 方法 。 该 方法 首先 提取 正常 Have 消息 数据 流 , 接着 提取 均值 、 方差 与 直方 图 特征 ， 

最 后 基于 Adaboost 分 类 器 给 出 了 检测 结果 。 实 验 结果 表明 ， 所 提 方 法 在 观测 窗口 达到 1000 个 数据 包 时 对 该 隐 写 的 识 
别 正确 率 可 达 96%， 在 检测 基于 Have 消息 的 隐 写 时 具有 良好 效果 。 
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Steganalysis method for Have message in BitTorrent protocol 


Xu Xinyi, Zhai Jiangtao+, Dai Yuewei 
(School of Electronics & Information Jiangsu University of Science & Technology, Zhenjiang Jiangsu 212003, China) 


Abstract: Network steganography is a kind of computer network communication data as the carrier of the hidden communication 
technology. BitTorrent protocol of the huge flow to make it an excellent steganographic carrier, based on BitTorrent protocol 
has the message of steganography that in this context, the current public literature there is no effective detection algorithm. 
Based on this, this paper presented a multi-feature classification based on the detection method. Firstly, it extracted the method 
from the normal data stream, then it generated the secret data according to the concealed method, and extracted then the normal 
data and the dense data. Finally, it given the detection result based on the Adaboost classifier. The experimental results show 
that the accuracy of the proposed method can reach 96% when the observation window reaches 1000 packets, it has good effect 
in detecting steganography based on have messages. 
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在 网 络 隐 写 研究 中 ， 由 于 P2P[6] 应 用 流量 巨大 ， 是 一 个 较 

为 理想 的 隐 写 载体 ， 近 年 来 提出 了 众多 隐 写 方法 ， 而 针对 其 上 

随 着 信息 技术 的 快速 发 展 以 及 多 种 异 构 网 络 的 融合 ， 各 行 。” 隐 写 分 析 [7] 则 发 展 较为 缓慢 , 为 了 实现 针对 APT 的 防御 , 迫切 

各 业 的 不 同业 务 逐 步 接 入 到 互联 网 中 , 对 网 络 的 依赖 越 来 越 强 需要 解决 P2P 中 的 隐 写 检测 问题 。 本 文 针 对 P2P 中 典型 的 

随 之 而 来 的 安全 问题 越 来 越 严 重 。 传 统 加 密 技术 是 将 可 读 的 数 。”” BitTorrent 文件 共享 协议 中 Have 消息 的 秘密 信息 传输 方法 进行 

据 变 成 杂乱 无 章 的 密 文 ， 昌 使 信息 不 可 读 ， 但 却 暴 露 了 通信 的 。” 分 析 , 提出 一 种 基于 Adaboost 模式 识别 的 隐 写 检测 方法 。 经 实 
存在 性 。 网 络 隐 写 [1,2] 作 为 一 种 隐蔽 通信 方式 ， 利 用 合法 的 数 ” 验 验 证 表明 ， 本 文 所 提 方 法 具有 较 高 的 检测 准确 率 。 

据 流 作为 载体 在 网 络 中 传递 秘密 信息 ， 隐 藏 了 秘密 信息 传输 通 


nT 


1 ”背景 知识 


道 的 存在 ， 较 高 的 隐蔽 性 。 以 高 级 持续 性 威胁 (advance 
persistent threat, APT) 为 代表 的 网 络 攻击 ， 为 了 提高 自身 的 生存 隐 写 术 将 秘密 信息 典 入 到 合法 载体 [8] 中 ， 陷 藏 信息 或 通信 
性 ， 往 往 使 用 了 隐蔽 通信 技术 [3,4]。 网 络 隐 写 作为 隐蔽 通信 的 的 存在 性 。 和 常见 的 载体 信道 有 图 像 、 音 频 、 视 频 和 网 络 数据 流 


一 种 , 针对 其 的 检测 可 为 APT 防御 提供 技术 支持 [5], 这 也 使 得 ”等 [9]。 而 网 络 隐 信 道 是 隐 信 道 技 术 中 的 一 种 ， 它 是 利用 公开 信 
网 络 隐 写 检测 成 为 近年 来 研究 的 热点 。 道上 传输 的 合法 数据 包 作 为 载体 ， 在 其 中 嵌入 秘密 消息 的 一 种 
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录用 稿 徐 心 怡 ， 等 : 一 种 针对 BitTorrent sh Have 消息 写 分 析 方 法 


隐 项 通信 技术 。1973 年 ，Lampson[10] 首 次 提出 了 隐 信 道 的 概 。” 越 多 ， 其 中 基于 Have 消息 的 隐 号 方法 具有 较 高 的 隐蔽 性 与 鲁 
念 ， 将 其 定义 为 ， 隐 项 信道 是 指 利用 资源 共享 创建 的 、 违 反 系 。“ 棒 性 。 而 现 有 的 网 络 信息 隐藏 检测 技术 的 研究 主要 集中 于 使 用 
统 本 身 意 图 且 对 系统 安全 造成 危害 的 一 种 通信 机 制 。 Girling 在 。 “TCP/IP 协议 的 Iaternet 网 络 ， 对 于 使 用 BT 协议 的 P2P 网 络 的 
1987 年 首次 提出 网 络 隐蔽 信道 [11]， 是 指 在 现代 网 络 通信 中 存 研究 相对 较 少 ， 且 尚 无 公开 文献 提出 对 于 Have 消息 隐蔽 通信 
在 的 危害 网 络 安全 的 通信 信道 。 在 海量 的 网 络 数据 流 中 ， 网 络 ”的 检测 方法 。 因 此 ， 以 P2P 网 络 数据 流 作为 载体 的 信息 隐藏 检 
通信 体现 出 随机 性 和 动态 性 特点 ， 并 且 网 络 隐 信 道 可 以 绕 开 防 。” 测 技术 值得 进一步 地 深入 研究 ， 本 文 针对 Have 消息 的 隐 项 通 
火 墙 、 入 侵 检测 等 安全 设备 ， 具 有 强 隐 项 性 特点 ， 使 攻击 方 难 “。” 信 提出 了 一 种 检测 方法 。 
以 跟踪 取证 。 
P2P 网 络 是 目前 使 用 最 为 广泛 的 文件 共享 方式 ，BitTorent “2 ”基于 BT 协议 Have 消息 排序 的 信息 隐藏 方法 
(BT) 是 P2P 的 一 种 典型 应 用 。 基 于 BT 协议 的 P2P 网 络 数据 流 文献 17] 提 出 了 一 种 基于 BitTorrent 协议 Have 消息 的 秘密 
大 体 可 分 为 BT 种 子 文件 、BT 服务 器 文件 和 BT 消息 文件 三 部 “信息 传输 方法 。 其 使 用 的 隐藏 算法 原理 是 通过 改进 奇偶 映射 信 
分 。 基 于 BT 种 子 文件 的 网 络 隐 写 方法 主要 是 利用 大 小 写 不 敏 。” 息 编码 方式 来 实现 信息 隐藏 算 法 的 功能 。 原 有 奇偶 映射 方法 的 
感 变换 和 结构 元 余 复 用 技术 ， 将 秘密 信息 嵌入 到 BT 种 子 文件 。 “前 提 是 不 改变 子 数组 中 各 元 素 的 值 ， 仅 依靠 元 素 自身 的 奇偶 性 
各 种 关键 字 的 宛 余 空间 中 [12]。 BT 服务 器 ， 又 称 之 为 Tacker 服 。 和 排序 来 实施 编码 。 而 这 种 方法 中 改进 后 的 奇偶 映射 编码 则 是 
务 器 , 用 于 保存 BT 种 子 文件 以 及 记录 当前 下 载 者 的 网 络 信息 。 ”打破 这 个 前 提 , 它 会 利用 “加 1 或 减 1” 的 方式 改变 部 分 元 素 
基于 Tacker 服务 器 的 网 络 隐 写 方法 主要 分 为 两 种 : 一 种 是 利用 “的 奇偶 性 , 以 此 来 提高 载体 利用 率 , 即 利用 N 个 原始 数据 负载 
FTTP GET 请 求 消息 中 关键 字 peer id 的 多 人 空间 为 雪人 说 入 。 了 Nb 的 秘密 信息 ， 改 后 的 坟 体 和 用 束 民 :为 


mk 


秘密 信息 [13]， 另 一 种 是 通过 HTTP 消息 将 秘密 信息 直接 写 入 R;>=N/N*100% = 100% (1) 
Tacker 服务 器 [14]。 基 于 BT 消息 的 网 络 隐 写 方法 主要 有 文献 这 种 方式 虽然 改变 了 子 数组 中 部 分 元 素 值 ， 但 改变 后 的 元 


[15] 提 出 的 基于 Bitfield 消息 的 信息 隐藏 算法 和 基于 Piece 消息 。 素 值 依然 属于 整个 数组 集合 ， 并 不 会 发 生 异 常 ， 其 效果 相当 于 
的 信息 隐藏 算法 则 是 将 秘密 信息 嵌入 到 Bitfield 消息 以 及 Piece  ” 是 在 整个 数组 集合 中 改变 各 元 素 的 顺序 。 基 于 改进 后 的 奇偶 映 
消息 的 宛 余 空间 中 。 其中, 基于 Bitfield 消息 的 信息 隐藏 算法 会 ” 射 信息 编码 方式 , 若 待 髓 入 的 比特 流 信息 集 合 为 :B= {b1,b2,…， 
引入 当前 P2P 节点 所 拥有 数据 块 数目 异常 ， 导 致 频繁 出 现 来 至 ”bi, …, bN}, 其 中 , bi= ‘0 或 b= “1” 且 1<i<N, 
其 他 P2P 节点 的 请 求 消息 ， 基 于 Piece 消息 的 信息 隐藏 算法 会 结合 式 (2) 的 Have 消息 序列 ， 编 码 所 得 新 序列 值 为 

引入 当前 P2P 节点 所 拥有 数据 块 内 容 异 常 ， 导 致 频繁 出 现 来 至 


h+l, jf h = 0H.b,='1 
其 他 P2P 节点 的 重 传 消息 。 因 此 ， 这 两 种 方法 都 会 主动 地 给 正 We Wy 
常 的 P2P 通信 带 来 出 错 异常 ， 隐 蔽 性 较 差 ， 而 且 这 两 种 方法 易 
受到 网 络 复杂 环境 的 干扰 ， 和 鲁 棒 性 较 差 h=4h if 
密 到 网 绍 复 未 堆 现 ， 写 个 E 人 及 和 2 z 0 O) 
Peer 消息 作为 BitTorrent 网 络 通信 不 可 或 缺 的 组 成 部 分 ， 
ee 、 , h%2 = 0Hb,= 
对 于 整个 BT 网 络 的 运行 起 着 至 关 重 要 的 作用 ， 而 且 Peer 消息 h -l,if hz0H hh%2 二 0 日 
1 /0 1 一 
通信 容量 大 。Have 消息 是 一 种 通信 频繁 上 且 分 布 有 序 的 Peer 消 
息 [16]， 每 当 一 个 完整 的 数据 块 下 载 完毕 ， 该 客户 端 节 点 Peer 尚 无 公开 文献 提出 对 于 该 Have 消息 隐蔽 通信 的 检测 方法 。 
即 可 向 外 发 送 与 之 对 应 的 Have 消息 。 由 于 Have 消息 具有 通信 本 
、 、 3 ”本 文 算法 
频繁 、 分 布 有 序 以 及 修改 负载 不 会 引起 系统 错误 的 特点 ， 使 得 
其 具备 了 承载 网 络 隐蔽 通信 的 见 余 空间 。 3.1 特征 提取 
于 Have 消息 是 BT 消息 文件 中 有 一 个 具备 向 已 连接 节 本 文 提取 正常 通信 与 隐蔽 通信 的 均值 、 方 差 、 直 方 图 三 种 
点 宣称 自己 拥有 某 个 数据 块 功能 的 消息 ， 数 据 块 大 小 固定 且 共 特征 。 均 值 是 表示 一 组 数据 集中 趋势 的 量 数 ， 它 是 反映 数据 集 


享 文件 越 大 ， 共 享 文件 数据 块 的 个 数 则 越 多 ， 相 应 的 Have 消 ”中 趋势 的 一 项 指标 ， 它 既 可 以 用 来 反映 一 组 数据 的 一 般 情况 和 
息 的 个 数 也 就 越 多 ， 所 以 车 以 Have 消息 序列 为 载体 代入 秘密 “平均 水 平 ， 也 可 以 用 它 进 行 不 同 组 数据 的 比较 ， 以 看 出 组 与 组 
言 息 , 嵌入 容量 足够 大 。 除 此 之 外 , 由 于 数据 块 Piece 下 载 的 随 之 间 的 差别 。 用 均值 表示 一 组 数据 的 情况 ， 有 直观 、 简 明 的 特 
机 
息 


spp 


性 ， 与 之 对 应 的 Have 消息 索引 号 也 是 随机 的 ， 若 将 秘密 信 点。 方差 是 在 概率 论 和 统计 方差 衡量 随机 变量 或 一 组 数据 时 高 
息 嵌入 到 Have 消息 的 排序 中 , 使 秘密 信息 随 Have 消息 一 起 进 ” 散 程 度 的 度量 。 概 率 论 中 方差 用 来 度量 随机 变量 与 其 数学 期 望 
行 传输 ， 这 种 方法 的 隐蔽 性 较 强 。 由 于 引入 了 信息 校 验 机 制 ， 之 间 的 偏离 程度 。 统 计 中 的 方差 是 每 个 样本 值 与 全 体 样 本 值 的 
即便 Have 消息 受到 网 络 复杂 环境 的 干扰 而 出 错 ， 也 会 通过 该 。 平均 数 之 差 的 平方 值 的 平均 数 。 在 统计 工作 中 ， 均 值 和 方差 是 
校 验 机 制 保 证 数据 传输 的 准确 性 ， 鲁 棒 性 也 相对 较 好 。 描述 数据 资料 集中 趋势 和 离散 程度 的 两 个 最 重要 的 测度 值 。 为 
近年 来 P2P 技术 飞速 发 展 , 基于 P2P 的 隐蔽 通信 方法 越 来 了 进一步 提高 分 类 识别 的 准确 率 ， 本 文 引入 直方 图 特征 来 更 好 
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地 描述 数据 流 的 分 布 ， 并 基于 该 统计 方法 建立 了 正常 数据 流 与 
含 密 数据 流 在 0~N 上 的 的 分 布 概率 统计 模型 。 
3.2 ”Adaboost 分 类 器 
Adaboost 作为 Boosting 算法 中 的 典型 一 种 ,通过 迭代， 能 
够 对 同一 训练 集训 练 多 个 弱 分 类 器 ， 并 通过 一 定 的 方式 将 这 些 
弱 分 类 器 组 合 起 来 ， 提 升 为 一 个 更 强 的 最 终 分 类 器 。 在 训练 过 
程 中 ， 算 法 根据 每 次 弱 分 类 器 的 分 类 正确 与 否 ， 以 及 上 次 总 体 
分 类 准确 率 来 确定 每 一 个 样本 的 权重 。 对 于 误 检 测 的 样本 ， 其 
权重 也 就 越 大 ， 这 就 相当 于 改变 了 数据 的 分 布 形 式 。 对 修改 的 
新 样本 数据 进行 下 一 层 的 弱 分 类 器 训练 ， 迭 代 多 次 达到 收敛 条 
件 以 后 将 每 次 训练 得 到 的 分 类 器 组 合 起 来 ， 就 得 到 了 最 终 的 决 
策 分 类 器 。 标准 的 Adaboost 分 类 器 是 一 种 线性 加 权 形 式 的 集成 


分 类 器 ， 即 
3 @) 


其 中 ， 强 分 类 器 了 (xX) 是 工 个 弱 分 类 器 h(x ) 的 线性 组 


x) = by PAA 
zt 


合 ， 弱 分 类 器 加 权 系 数 (中 是 由 Adaboost 算法 训练 得 到 。 


Adaboost 算法 具有 非常 显著 的 优点 : 

a)Adaboost 是 一 种 具有 高 分 类 精度 的 分 类 器 ; 

b)Adaboost 提供 的 是 一 种 提升 框架 ， 其 中 的 弱 分 类 器 可 以 
有 多 种 形式 ; 
c) 不 用 担心 过 拟 合 问题 ， 泛 化 性 能 好 。 
基于 Adaboost 算法 的 这 些 显著 特点 ， 本 文采 用 Adaboost 
算法 进行 分 类 器 的 训练 ， 其 中 的 弱 分 类 器 本 文 使 用 决策 树 。 


4 ”实验 结果 及 分 析 


4.1 数据 预 处 理 

如 图 1(a) 所 示 ， 蓝 色 数 据 为 含 秘 数据 ， 红 色 数 据 为 正常 数 
据 ( 见 电子 版 ，， 由 于 数据 太 过 接近 ， 所 以 在 图 中 有 所 重 蔷 ; 
图 (b) 为 两 段 数 据 之 差 ， 能 够 看 出 两 者 差异 仅 为 0 或 1， 远 远 小 
于 数据 流 数值 大 小 ， 此 时 难以 体现 数据 流 之 间 的 差异 性 。 因 此 
要 对 正常 数据 与 含 密 数据 进行 分 离 ， 有 必要 增 大 数据 流 之 间 的 
异性 , 一 种 有 效 的 办 法 就 是 对 数据 流 的 前 后 数据 求 差 。 图 2(a) 
即 为 正常 数据 前 后 差 值 图 。 结 合 图 2(b) 能 够 看 出 通过 差 值 ， 数 
据 流 基本 限制 在 -20 一 20 间 ， 因 此 极 大 地 增加 了 0 或 1 差异 对 
正常 数据 与 含 密 数 据 的 差异 影响 。 但 由 于 数据 流 在 某 些 时 候 具 
有 极 大 的 跳 变 ， 导 致 数据 流 前 后 差 值 在 某 些 时 候 数值 过 大 ， 影 
响 了 进一步 的 数据 分 离 。 

为 了 进一步 增加 数据 流 之 间 的 差异 , 减 小 跳 变 数据 的 影响 
0 一 化 到 0~N-l 间 ， 其 中 N 为 一 个 较 小 的 正 
整数 ， 其 方法 就 是 用 差 值 数据 流 对 N 取 余 。 

结合 如 上 所 述 的 数据 流 前 后 差 值 与 取 余 两 步 操作 ， 便 极 大 
增加 了 正常 数据 与 含 密 数 据 之 间 的 差异 性 , 其 数学 描述 如 式 ( 4 ) 
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所 示 。 


X =mod(A(X)N) (4) 


其 中 : A(.) 为 差 值 函数 , mod(-, N ) 是 对 NN 的 取 余 函数 。 
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(a) 正常 与 含 密 数 据 分 布 图 
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(a) 正常 数据 前 后 差 值 图 
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(b) 正常 数据 前 后 差 值 局 部 示意 图 
图 2 正常 数据 前 后 数据 差 值 图 
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4.2 ”特征 提取 

数据 流 的 均值 与 方差 能 够 体现 数据 的 整体 分 布 情况 。 图 3 
所 示 即 为 正常 数据 与 含 密 数据 均值 和 方差 的 分 布 图 .能 够 看 出 ， 
数据 流 的 均值 与 方差 分 布 仅 有 小 部 分 的 重 玲 ， 说 明 数 据 流 分 布 
对 正常 数据 与 含 密 数 据 分 类 识别 的 有 效 性 。 为 了 进一步 提高 分 
类 识别 的 准确 率 ， 本 文 引 入 直方 图 特征 来 更 好 地 描述 数据 流 的 
分 布 ， 其 基本 思想 就 是 统计 数据 流 在 0~N 上 的 分 布 概率 。 基 
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2) 直 方 图 特征 量化 等 级 N 对 识别 率 的 影响 

为 了 分 析 直 方 图 特征 量化 等 级 N 对 识别 率 的 影响 , 首先 固 
定 w=1000，k=2， 研 究 N 的 取 值 对 识别 率 的 影响 。 直 方 图 特征 
量化 等 级 N 对 识别 率 的 影响 结果 如 图 5 所 示 。 从 图 5 能 够 看 
出 ，N=5 时 识别 效果 最 好 ， 当 量化 等 级 较 小 时 ， 直 方 图 特征 难 
以 准确 描述 数据 的 分 布 特点 ;而 当量 化 等 级 较 大 时 ， 虽 然 能 够 


al 


图 


此 对 于 经 过 预 处 理 的 数据 流 达 ,特征 提取 过 程 如 式 (5) 所 示 。 
F(X')=[mean(x )var( })nis((x)〗 © 


其 中 ; mean(-) 为 均值 函数 ，vVar() 为 方差 函数 ; hist(-) 


为 直方 图 函数 。 
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图 3 正常 数据 与 含 密 数 据 均值 方差 分 布 民 


4.3 检测 结果 

实验 截取 原始 数据 流 , 按照 每 个 窗口 包含 w 
行 划分 ， 符 入 隐秘 信息 之 后 ， 按 照 同样 方法 进行 划分 ， 这 样 就 
分 别 得 到 了 用 于 分 类 识别 的 正常 及 含 密 数据 ， 其 中 70% 用 于 训 
练 ，30% 用 于 测试 。 按 照 第 3 章 中 介绍 的 方法 ， 计 算出 不 同窗 
口 下 的 均值 、 方 差 及 直方 图 特征 ， 使 用 Adaboost 算法 进行 分 类 
器 的 训练 与 测试 。 下 面 实验 分 析 窗 口 大 小 w、 直 方 图 特征 量化 
等 级 N 以 及 最 终 特征 维 数 k 对 识别 率 的 影响 。 

1) 窗 口 大 小 w 对 识别 率 的 影响 

为 了 分 析 窗 口 大 小 w 对 识别 率 的 影响 ， 首 先 固定 N=5， 
k=2, 研究 w 在 取 值 200、400、600、800、1 000、1 200、1 400、 
1600、1 800 以 及 2 000 这 10 种 情况 下 的 识别 率 。 图 4 即 为 窗 
大 小 w 对 识别 率 的 影响 结果 。 从 中 能 够 看 出 ， 窗 口 大 小 较 大 
影响 了 最 终 的 识别 效果 ， 这 主要 是 因为 更 多 的 数据 量 能 够 更 为 
准确 地 挖掘 数据 的 内 部 特性 ， 找 到 正常 数据 与 含 密 数据 之 间 的 
差异 性 。 
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图 4 窗口 大 小 w 对 识别 率 的 影响 结果 医 


描述 数据 分 布 特点 ,但 直方 图 特征 之 间 包 含 了 更 多 的 见 余 信息 ， 
会 较 大 影响 分 类 器 的 泛 化 能 力 ， 因 此 量化 等 级 过 小 或 者 过 大 都 
不 利于 最 终 的 识别 率 。 
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图 5 直方 图 特征 和 


化 等 级 N 对 识别 率 的 影响 结果 


5 ”结束 语 


本 文 对 BitTorrent 协议 中 Have 消息 的 隐 和 写 方法 的 算法 原理 
和 具体 算法 进行 了 研究 分 析 , 找 到 了 这 种 新 型 隐 写 方式 的 特点 。 
根据 其 特点 ,将 模式 识别 的 概念 用 于 Have 消息 隐 写 的 分 析 中 ， 
通过 均值 方差 直方 图 三 个 特征 来 区 分 正常 数据 和 含 密 数 据 。 实 
验 表 明 ， 当 观测 窗口 大 于 1000 时 , 特征 量化 等 级 N=5 ,特征 
维 数 k=3 时 ， 运 用 本 文 提 出 的 方法 区 分 正常 数据 和 含 密 数 据 ， 
可 以 达到 最 优 的 效果 。 
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